Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.

Slides:



Advertisements
Presentazioni simili
VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
Advertisements

Schema per il cambio delle password
Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Modulo 1 – Ambiente di lavoro Windows 7
Modulo 5 - posta elettronica
INTERNET: RISCHI E PERICOLI
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Sicurezza e Policy in Active Directory
Introduzione ad Active Directory
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory
1 I SOGGETTI TITOLARE AZ. SAN. RESPONSABILI INCARICATI DIPENDENTI DIRIGENTI SANITARI.
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
LA NORMATIVA DI RIFERIMENTO
Nuovi servizi per il personale
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
La tutela dei dati personali
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Posta elettronica : per iniziare : per iniziare Primi passi con la posta elettronica Primi passi con la posta elettronica
1 Titolo Presentazione / Data / Confidenziale / Elaborazione di... ASP. Net Web Part e controlli di login Elaborazione di Franco Grivet Chin.
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
10 punti fondamentali su Windows originale Note legali Le informazioni fornite in questo documento rappresentano l'opinione di Microsoft Corporation sui.
Dote Tirocinio Scuole Fixo Destinatari Sono ammessi a presentare domanda di partecipazione alla dote i giovani aventi i seguenti requisiti: residenti.
Inserire il proprio nome da iscritto e la propria password e cliccare su Login. Entrerete così nel Blog. Se non si è registrati cliccare su Non registrata.
Fabrizio Grossi. 2) Conservazione dei Log di connessione 3) Individuazione procedure e soggetti preposti per verifica navigazione singola postazione.
Guida IIS 6 A cura di Nicola Del Re.
Registrazione Per accedere al portale e gestire i dati della propria Istituzione Scolastica, Ente o Associazione, ogni utente deve necessariamente compilare.
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
1 Adeguamento dei Servizi telematici con riferimento al provvedimento 18 settembre 2008 del Garante della Privacy.
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
SERVIZIO EDI – Primo Accesso
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
La sicurezza delle reti informatiche : la legge sulla Privacy
Fabrizio Grossi. 11) Adozione procedure di back-up centralizzato.
Un problema importante
SIBA Days 2009 – III Edizione Il Servizio di accesso remoto alle risorse informative elettroniche Domenico Lucarella Coordinamento SIBA Università del.
Configurazione di una rete Windows
REGISTRAZIONE AL PORTALE “STIPENDI P.A.”
IL CODICE DELLA PRIVACY
06/12/2007 Progetto cedolini online di Lottomatica Automatizzare il processo di consegna dei cedolini delle buste paga.
Active Directory e Gestione Utenti di Valerio Di Bacco.
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
Registrazione alle istanze on-line
1 FATTURAZIONE ELETTRONICA “PA” & CONSERVAZIONE DIGITALE A NORMA CONSERVAZIONE DIGITALE SOSTITUTIVA IL RESPONSABILE DELLA CONSERVAZIONE ​​ Definizione.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
Registrazione degli ospiti INFN e gestione del database via web M.Corosu, A.Brunengo INFN Sezione di Genova Linguaggio di programmazione: perl Web server:
Guardie Giurate Art. 2 Statuto dei lavoratori.
UNITA’ 04 Uso Sicuro del Web.
UNITA’ 02 Malware.
D.Lgs 196/03: Tutela della privacy
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
GATECOP Benvenuti in Gatecop, programma specializzato per la gestione delle Palestre.
Piattaforma ITALCHECK – v 3.1 TUTORIAL MOD9171 – Rev 00.
@PaoloSternwww.sternzanin.it Dott. CdL Paolo Stern Il contratto di lavoro intermittente dopo l’intervento Fornero.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
1. 2 Corso avanzato SistER secondo modulo Ferrara 26 settembre 2006.
PRIVACY ED AVIS Una relazione pericolosa ?. La gestione dei dati: un adempimento importante!! La nostra associazione deve prestare particolare attenzione.
M ANUALE R IVIERE 2015 CARMELO GARREFFA Il piano della sicurezza Centroservizi S.r.l. – Società di Servizi dell’Unione Industriali di Savona.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Aggiornamento del 29 Settembre 2011
Transcript della presentazione:

Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi

Disposizioni del garante trattate Individuazione requisiti minimi di complessità per le password Individuazione criteri di conservazione delle password Disattivazione credenziali di autenticazione non utilizzate Individuazione procedure di disattivazione Istruzioni in ipotesi di assenza temporanea o permanente del lavoratore dal pc

Individuazione requisiti minimi di complessità per le password Secondo quanto previsto dalla vigente normativa privacy (vedasi il Disciplinare tecnico in materia di misure di sicurezza, Allegato B al Decreto Legislativo n. 196/2003), ciascuna password deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; la password non deve contenere riferimenti agevolmente riconducibili all'incaricato (pertanto non si devono utilizzare nome e cognome o date particolari) e deve essere modificata con cadenza almeno semestrale (a titolo meramente esemplificativo e non esaustivo: dati amministrazione, dati commerciali) o trimestrale (a titolo meramente esemplificativo e non esaustivo: dati del personale dipendente, dati di utenti strutture sanitarie).

Computer in dominio Se la rete aziendale è basata su un dominio, è possibile utilizzare le Group Policy di dominio, presenti da Windows 2000 Server in poi. Le Group Policy sono applicate a tutti gli utenti e i computer che fanno parte del dominio e permettono di definire: Criteri per le password utente Lunghezza minima della password Scadenza della password Tempo minimo prima di poter cambiare la password Numero di password che vengono registrate (e che non è possibile utilizzare quando si cambia la password) Criteri di alta complessità (lettere-numero, maiuscole, caratteri non alfanumerici) Non viene fatto nessun controllo sul fatto che gli utenti non usino nome, cognome o date riconducibili all’utente Policy di sicurezza, es: blocco delle password in caso di tentativo di accesso falliti

Computer in Workgroup Se la rete aziendale non è basata su un dominio ma è un semplice workgroup è possibile definire le stesse Policy, solo che vanno configurate manualmente su ogni computer Le configurazioni che si possono utilizzare sono le stesse Aumentano i costi amministrativi: bisogna applicare le Policy manualmente su ogni PC

Individuazione criteri di conservazione delle password: una volta individuata/e la/e password, la/e stessa/e dovrà/anno essere conservata/e al fine di: 6a) evitare accessi ai contenuti del pc da parte di lavoratori non autorizzati al trattamento di dati o informazioni di competenza del titolare della password; 6b) evitare accessi ai contenuti del pc da parte di soggetti terzi estranei alla struttura. L'azienda potrà individuare dei criteri di conservazione direttamente nella policy interna, specificando le modalità mediante le quali potranno essere ridotti i rischi di conoscibilità delle password (a titolo meramente esemplificativo e non esaustivo: non scrivere le password su post-it affissi al pc non comunicare la password via telefono o via mail in caso di mancanza di assoluta certezza circa l'identità della controparte

Applicazione in Dominio e in Workgroup Se i computer fanno parte di un dominio è possibile: Impedire l’accesso ai computer della rete se non a utenti autorizzati tramite credenziali di accesso (username/password) Gestire l’autorizzazione alle risorse (File, Cartelle, Stampanti, Cartelle condivise) usando le credenziali di accesso Se i computer non fanno parte di un dominio è possibile gestire l’accesso (gli utenti) localmente

Disattivazione credenziali di autenticazione non utilizzate e procedure di disattivazione 7) Disattivazione credenziali di autenticazione non utilizzate: come per il precedente punto, tale operazione è obbligatoria ai sensi di legge. Difatti, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica, le credenziali di autenticazione non utilizzate da almeno sei mesi devono essere disattivate. 8) Individuazione procedure di disattivazione: il datore di lavoro dovrà preventivamente individuare delle procedure di disattivazione delle credenziali di autenticazione, qualora un lavoratore venga allocato in altra area o concluda il rapporto lavorativo. Difatti, oltre ad essere obbligatorio per legge, appare un importante misura di salvaguardia delle informazioni aziendali, avere una procedura di disattivazione che consenta pressoché nell'immediatezza dell'evento, di negare l'accesso dell'ex lavoratore ai dati ed alle informazioni disponibili sino a quel momento per lo svolgimento delle attività.

Strumenti per applicare le procedure di disattivazione Esiste uno specifico attributo dell’utente nel dominio (Active Directory) in cui è salvata la data dell’ultimo accesso: LastLogonTimestamp E possibile utilizzare degli script, schedulandoli con una frequenza predefinita, per analizzare tutti gli utenti che non hanno fatto accesso da più di 6 mesi e spostarli in un repository appositi e/o disabilitarli

Istruzioni in ipotesi di assenza temporanea o permanente del lavoratore dal pc La policy aziendale dovrà prevedere espressamente le istruzioni affinché non sia lasciato incustodito o accessibile il contenuto del pc su cui il lavoratore opera; a tal fine le politiche relative alla gestione dello screen server,consentiranno di evitare rischi di accessi da parte di personale interno non autorizzato, o soggetti esterni, ai dati ed alle informazioni gestite.

Applicazione in Dominio e in Workgroup Se la rete aziendale è basata su un dominio, è possibile utilizzare le Group Policy di dominio, presenti da Windows 2000 Server in poi. Le Group Policy sono applicate a tutti gli utenti e i computer che fanno parte del dominio e permettono di definire: L’utilizzo di Screen Saver protetto da Password Il tempo attivazione dello Screen Saver (dopo un certo numero di minuti di inutilizzo del computer) Se la rete aziendale non è basata su un dominio ma è un semplice workgroup è possibile definire le stesse Policy, solo che vanno configurate manualmente su ogni computer

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.